Будущие технологии и их применение
Сотни тысяч Android-устройств, включая телефоны и телевизионные приставки, уязвимы для взлома, потому что их порты открыты для Интернета, предупреждает хактивист, ранее попавший в заголовки газет.
Хакер, который известен под псевдонимом virtrux, руководил хакерской информационной кампанией, в результате которой в 2018 году тысячи принтеров по всему миру начали печатать сообщения в поддержку PewDiePie. Virtrux также участвовал в предполагаемом взломе американской системы оповещения о чрезвычайных ситуациях в 2020 году.
Он считает, что проблема является серьезной, затрагивающей сотни тысяч пользователей.
Virtrux утверждает, что он воспользовался уязвимостью в том, как разработчики могут получить доступ к телефонам через Android Debug Bridge. или АБР. «Я никогда не думал, что это что-то необычное, но после принтеров не было ничего удивительного в том, что их можно найти на Shodan», — говорит он. Когда он посмотрел, были обнаружены тысячи уязвимых устройств.
ADB обычно используется для разработки аппаратного и программного обеспечения, но также является частью процесса рутирования устройства. Производители, неправильно настроившие ваше устройство, могут привести к тому, что порт ваших устройств останется открытым для Интернета. Это также может быть сделано пользователями, которые заходят в свой маршрутизатор и меняют настройки, которые им не нужны.
Virtrux отмечает, что некоторые производители по умолчанию открывают все порты для Интернета. Аналогичным образом, если пользователи пытаются получить root права на свой телефон, то есть изменить настройки, чтобы получить доступ к привилегированным элементам управления, которые позволяют им изменять свой телефон, им может быть предложено включить режим разработчика, который оставляет порты открытыми.
«Мой мыслительный процесс — это инструмент, который они используют для рутирования устройства, который просит вас перенаправить порт», — говорит virtrux. «Но с этим доступом кто-то со злыми намерениями может установить вредоносное ПО, добавить телефоны или различные телевизионные приставки с поддержкой Android в ботнет или майнить на них». ” для хакеров, как только они получат доступ. И количество устройств огромно; он обнаружил 10 000 уязвимых устройств в Shodan, популярной поисковой системе для поиска устройств, подключенных к Интернету, и, по оценкам, с помощью других подобных инструментов поиска можно просмотреть еще десятки тысяч.
Virtrux показал скриншоты Daily Dot. и видеоролики, которые показали, как он может легко внедрить код в эти открытые устройства, что позволит хакеру тайно записывать экран цели, считывать данные связи в реальном времени из Skype, а также устанавливать и открывать приложения по собственному выбору хакера на устройствах, которые могут включают вредоносные приложения.
Хактивист говорит, что он рассматривает возможность настроить открытые устройства для посещения веб-страницы, которая укажет на проблему их владельцам. Однако он считает, что эта уязвимость уже известна хакерскому сообществу.
«У меня есть подозрение, что злоумышленники уже используют ее в своих интересах, — говорит он. «Я обнаружил, что кто-то майнил [криптовалюту] — очевидно, не владелец — на одном из устройств».
Google отказался комментировать Daily Dot выводы virtrux.
Новости беспокойство за Алана Вудворда, профессора кибербезопасности в Университете Суррея. «Открытие портов само по себе не является проблемой, если только один из этих портов не обеспечивает удаленное подключение или выполнение», — сказал он. «Если он нашел способ удаленного использования ADB, это может быть более проблематично. Вы просто не должны иметь возможность использовать ADB на рабочем устройстве, не говоря уже об удаленном».
Virtrux подтвердил, что он может получить удаленный доступ к устройствам, показав видео Daily Dot и скриншоты с полученных им устройств. доступ к.
Virtrux рекомендует людям покупать телефоны Android только из надежных источников, не включать режим разработчика на любых устройствах, если в этом нет необходимости, и избегать переадресации портов на своем маршрутизаторе.
>